Det finns personuppgifter som är integritetskänsliga enligt GDPR. Dessutom skiljer GDPR på vanliga och känsliga personuppgifter. Företag får enligt huvudregeln i GDPR inte behandla känsliga personuppgifter såsom uppgifter om religion eller hälsa.
Däremot finns det undantag och många företag behöver behandla känsliga personuppgifter. Exempelvis är sjukfrånvaro från anställda en uppgift om hälsa som arbetsgivare behöver behandla för att fullgöra sina skyldigheter enligt arbetsrätten. Därför är det viktigt att känna till att dessa personuppgifter måste bli behandlade med större säkerhet och inte skickas via till exempel okrypterat mejl.
Typer av personuppgifter som är integritetskänsliga enligt GDPR
Det finns fyra grupper av integritetskänsliga personuppgifter som är följande:
- Den första gruppen av integritetskänsliga personuppgifter är känsliga personuppgifter.
- Den andra gruppen är sådana uppgifter som är kopplade till lagöverträdelser som en individ har begått.
- Tredje gruppen av de integritetskänsliga personuppgifterna är personnummer. Även samordningsnummer hör till denna kategori.
- Skillnaden mellan den sista gruppen och de övriga tre, är att det inte finns någon specifik beskrivning. Istället handlar det om integritetskänsliga uppgifter ur ett subjektivt perspektiv.
En vanlig fråga är om bankkontonummer är en känslig personuppgift enligt GDPR, men det är det inte. Inga uppgifter som är kopplade till ekonomi är känsliga personuppgifter. Däremot är det en integritetskänslig personuppgift. Ett företag i Storbritannien fick en sanktionsavgift på över 2 miljarder kronor för att bland annat hackare kom åt kreditkortsnummer eftersom säkerheten brast.
Subjektiva och objektiva personuppgifter
Det är skillnad på subjektiva och objektiva personuppgifter. Objektiva personuppgifter är det man ofta tänker på direkt, såsom namn och personnummer. Det identifierar en person, till skillnad från subjektiva personuppgifter som beskriver egenskaper hos individen. Det kan vara till exempel en diagnos från en läkare. Dessutom är det skillnad på tydliga och mindre tydliga personuppgifter. Om det går att identifiera en individ genom en bakvägsidentifikation, är det en mindre tydlig personuppgift men fortfarande en personuppgift. Med andra ord behöver man inte kunna identifiera personen direkt för att det ska vara en personuppgift, utan det kan finnas registrerat på en annan plats.